Sử dụng bảng điều khiển Bảo mật trong Công cụ của Chrome cho nhà phát triển để đảm bảo HTTPS được triển khai đúng cách trên một trang. Hãy xem bài viết Tại sao HTTPS lại quan trọng để tìm hiểu lý do mọi trang web nên được bảo vệ bằng HTTPS, ngay cả các trang web không xử lý dữ liệu nhạy cảm của người dùng.
Mở bảng điều khiển Bảo mật
Bảng điều khiển Bảo mật là vị trí chính trong Công cụ cho nhà phát triển để kiểm tra tính bảo mật của trang.
- Mở Công cụ cho nhà phát triển.
Nhấp vào thẻ Bảo mật để mở bảng điều khiển Bảo mật.
Hình 1 Bảng điều khiển Bảo mật
Các sự cố thường gặp
Nguồn gốc chính không an toàn
Khi nguồn gốc chính của một trang là không an toàn, mục Tổng quan về bảo mật sẽ cho biết là Trang này không an toàn.
Hình 2. Trang không an toàn
Vấn đề này xảy ra khi URL bạn truy cập được yêu cầu qua HTTP. Để đảm bảo an toàn, bạn cần yêu cầu mã này qua HTTPS. Ví dụ: nếu bạn nhìn vào URL trong thanh địa chỉ, URL đó có thể giống với http://example.com
. Để đảm bảo an toàn, URL phải là https://example.com
.
Nếu bạn đã thiết lập HTTPS trên máy chủ của mình, thì bạn chỉ cần định cấu hình máy chủ để chuyển hướng tất cả yêu cầu HTTP tới HTTPS.
Nếu bạn chưa thiết lập HTTPS trên máy chủ của mình, thì Let's Encrypt là một cách thức miễn phí và tương đối dễ dàng để bắt đầu quy trình. Hoặc bạn có thể cân nhắc việc lưu trữ trang web của mình trên một CDN. Theo mặc định, hầu hết các CDN chính đều hiện đang lưu trữ trên HTTPS.
Lưu ý: Quy trình kiểm tra Chuyển hướng lưu lượng truy cập HTTP sang HTTPS trong Lighthouse có thể giúp tự động hoá quy trình đảm bảo rằng tất cả yêu cầu HTTP đều được chuyển hướng đến HTTPS.
Nội dung hỗn hợp
Nội dung hỗn hợp có nghĩa là nguồn gốc chính của một trang là an toàn, nhưng trang đó đã yêu cầu tài nguyên từ các nguồn không an toàn. Các trang nội dung hỗn hợp chỉ được bảo vệ một phần vì nội dung HTTP có thể truy cập được vào những trình phân tích cú pháp và dễ bị tấn công xen giữa.
Hình 3. Nội dung hỗn hợp
Trong Hình 3 ở trên, thao tác nhấp vào View 1 request in Network panel (Xem 1 yêu cầu trong bảng điều khiển mạng) sẽ mở bảng điều khiển Network (Mạng) và áp dụng bộ lọc mixed-content:displayed
để Network Log (Nhật ký mạng) chỉ hiển thị các tài nguyên không an toàn.
Hình 4. Tài nguyên hỗn hợp trong Nhật ký mạng
Xem thông tin chi tiết
Xem chứng chỉ gốc chính
Trong phần Security Overview (Tổng quan về bảo mật), hãy nhấp vào View certificate (Xem chứng chỉ) để kiểm tra nhanh chứng chỉ của nguồn gốc chính.
Hình 5. Chứng chỉ gốc chính
Xem thông tin chi tiết về máy chủ gốc
Nhấp vào một trong các mục nhập trong điều hướng bên trái để xem chi tiết của nguồn gốc. Trên trang chi tiết, bạn có thể xem thông tin về kết nối và chứng chỉ. Thông tin về tính minh bạch của chứng chỉ cũng sẽ xuất hiện khi có sẵn.
Hình 6. Thông tin chi tiết về nguồn gốc chính